【図解】EAP-TLSの仕組みと認証フロー徹底解説|802.1X認証の最高峰

IT技術
2024.02.05
この記事でわかること
  • 1x認証/EAP-TLSについて
  • EPA-TLSの仕組み
  • EPA-TLSを実現するために必要なもの

認証を勉強するのに最適な一冊です!

エンタープライズネットワークのセキュリティ要件が高まる中、無線LAN・有線LAN問わず「IEEE 802.1X認証」の導入は必須スキルとなっています。

この記事では、802.1X認証の中で最も強固なセキュリティを誇るEAP-TLSについて、基礎知識から具体的な認証シーケンス、実務でのメリット・デメリットまで、NWエンジニア向けにわかりやすく図解で解説します。

IEEE 802.1X認証とEAPの基本

EAP-TLSを理解する前に、前提となる技術要素を整理しておきましょう。

  • IEEE 802.1X: 有線・無線LANにおけるポートベースのアクセス制御規格です。正当な端末・ユーザーだけをネットワークに通信させるための枠組みを提供します。
  • EAP (Extensible Authentication Protocol): 802.1X認証において、実際の「認証のやり取り」を担うプロトコルです。PPPを拡張したものであり、EAP自体には特定の認証方式が紐づいておらず、様々な認証方式(EAPメソッド)を組み込んで使用します。

802.1x認証に基礎については以下の記事を見てください。
(無線認証の記事ですが、802.1x認証は有線LANでも使用されます。無線LAN / 有線LANともに仕組みは同じです。)

【図解】暗号化?認証?無線LAN/Wi-Fiの基本を解説
無線LANにおける暗号化方式と認証方式を解説しています。WPA2やWPA3についてやPSK認証、802.1x認証の仕組みも解説しています。
se-memorandum.com
2024.06.05

EAP単体にはセキュリティ機能がないため、実務では暗号化や証明書を組み合わせたEAP-TLSEAP-PEAPといった拡張方式が利用されます。

EAP-TLSとは?

EAP-TLS (EAP – Transport Layer Security) は、EAPメソッドの一種であり、「デジタル証明書」を用いた相互認証を行う方式です。

TLS通信を用いて経路を暗号化した上で、クライアント(端末)と認証サーバ(RADIUSサーバなど)が、お互いに証明書を提示し合って正当性を確認します。パスワードを使用しないため、パスワード漏洩やリスト攻撃のリスクが皆無であり、現在最もセキュリティレベルの高い認証方式とされています。

EAP-TLSとEAP-PEAPの比較

実務の設計フェーズでよく比較される「EAP-PEAP」との違いをまとめました。

比較項目EAP-TLSEAP-PEAP
認証方式相互のデジタル証明書サーバ証明書(任意) + ユーザーID/パスワード
セキュリティ強度非常に高い高い(ただしPW漏洩リスクあり)
クライアント証明書必須(全端末への配布が必要)不要
導入・運用コスト高い(CA構築や証明書の更新管理が必要)比較的低い
ユーザーの手間なし(バックグラウンドで自動認証)あり(初回や定期的なPW入力)

エンジニアの視点:

EAP-TLSは「端末そのもの」を認証するのに向いており、会社支給のPCやスマホの管理に最適です。一方、BYOD(私的端末の業務利用)環境では、証明書の配布が困難なためEAP-PEAPが選ばれる傾向にあります。

EAP-PEAPについて知りたい方は別記事にまとめているので、そちらをご覧ください

【IEEE802.1x認証】EAP-PEAPの詳細解説
この記事でわかること1x認証についてEAP-PEAPの詳しい解説認証を勉強するのに最適な一冊です!(function(b,c,f,g,a,d,e){b.MoshimoAffiliateObject=a;b=b||function(){arg...
se-memorandum.com
2024.02.15

EAP-TLSのメリットとデメリット

ネットワーク設計において、EAP-TLSを採用する際の評価ポイントは以下の通りです。

メリット

  • 最強のセキュリティ (相互認証): クライアントとサーバが互いの身元を証明書で確認するため、なりすまし(偽装アクセスポイントなど)を完全に防御できます。
  • パスワードレスによる利便性と安全性: ユーザーがパスワードを入力する手間が省け、ヘルプデスクへの「パスワード忘れ」の問い合わせも削減できます。

デメリット

  • PKI(公開鍵基盤)の要件: 証明書を発行・管理するための認証局(CA: Certificate Authority)の構築・維持が必要です。
  • 運用負荷が高い: 全クライアントへの証明書インストール、有効期限切れ前の更新作業、端末紛失時の失効(CRL/OCSP)運用など、ライフサイクル管理のオペレーションを確立しなければなりません。

【図解】EAP-TLSの認証フロー(シーケンス)

ここからは、EAP-TLSの具体的な認証フローを見ていきましょう。トラブルシューティング(パケットキャプチャの解析など)で非常に重要になるシーケンスです。

認証は大きく「802.1Xの開始フェーズ」と「EAP-TLS固有のフェーズ」に分かれます。

  1. EAPOL-Start (クライアント → スイッチ/AP): 端末がネットワークに接続すると、オーセンティケータ(スイッチやアクセスポイント)に対して認証の開始を要求します。
  2. EAP-Request / Identity (スイッチ/AP → クライアント): オーセンティケータがクライアントにID(識別子)を要求します。
  3. EAP-Response / Identity (クライアント → RADIUSサーバ): クライアントがIDを応答し、この通信がRADIUSサーバまで転送されます。ここから本格的なEAP-TLSのやり取りが始まります。
  4. TLSトンネルのネゴシエーション: RADIUSサーバはEAP-TLSの開始を宣言し、クライアントとの間でTLSハンドシェイクを開始します。
  5. 【相互認証】証明書の交換と検証:
    • サーバ認証: RADIUSサーバが自身の「サーバ証明書」を送信し、クライアントがそれを検証します(不正なRADIUSサーバでないことを確認)。
    • クライアント認証: クライアントが自身の「クライアント証明書」を送信し、RADIUSサーバがそれを検証します(許可された正当な端末であることを確認)。
  6. EAP-Success / Access-Accept: 証明書の相互検証に成功し、暗号鍵(PMKなど)の生成が完了すると、RADIUSサーバから「Access-Accept」が返され、オーセンティケータのポートが開放(通信許可)されます。

トラブルシューティングのヒント:

認証に失敗する場合、ログで「どのフェーズで落ちているか」を確認します。サーバ証明書の検証フェーズで落ちる場合は、端末側にルート証明書(Root CA)が入っていない、または有効期限切れのケースがほとんどです。

EAP-TLSの導入に必要な構成要素(システム要件)

EAP-TLS環境をゼロから構築する場合、PSK(事前共有鍵)のような簡易的な認証とは異なり、しっかりとしたインフラ基盤の設計が求められます。ここでは、NWエンジニアが要件定義・設計フェーズで必ず押さえておくべき「4つの必須コンポーネント」を解説します。

① 認証局(CA:Certificate Authority)とデジタル証明書

EAP-TLSの心臓部となる、デジタル証明書を発行・管理(失効含む)するシステムです。

  • 役割: 認証サーバに組み込む「サーバ証明書」と、ネットワークを利用する全端末に配布する「クライアント証明書」を発行します。
  • 実務での選択肢: Windows Serverの「AD CS(Active Directory 証明書サービス)」を利用してオンプレミスにプライベートCAを構築するのが伝統的ですが、近年は運用負荷を下げるため、クラウドベースのPKIサービスや、Aruba ClearPassなどの統合認証基盤に内蔵されたCA機能を利用するケースも増えています。

② 認証サーバ(RADIUSサーバ)

実際に認証の可否を判断し、ネットワークのアクセス制御を指示する「頭脳」です。

  • 役割: クライアントとの間でTLSトンネルを確立し、お互いの証明書の妥当性(有効期限、発行元、失効リストなど)を検証します。
  • 実務での選択肢: 小規模であればWindows Server標準のNPS(Network Policy Server)が使われますが、中〜大規模環境や複雑なポリシー制御(VLANの動的割り当てなど)が求められる場合は、Aruba ClearPassなどの専用アプライアンス製品がよく採用されます。

③ オーセンティケータ(LANスイッチ / 無線LAN AP)

端末からのネットワーク接続要求を最初に受け止める「関所」です。

  • 役割: 端末(サプリカント)とRADIUSサーバの間で、EAPメッセージを中継します。オーセンティケータ自身が証明書の検証を行うわけではなく、あくまでRADIUSサーバへの「橋渡し役」に徹します。
  • 実務での要件: IEEE 802.1X(ポートベース認証)に対応したエンタープライズ向けの機器が必要です。現場では高機能なL2/L3スイッチ、および各社の法人向けアクセスポイントがこの役割を担います。

④ サプリカント(クライアント端末)

ネットワークに接続を試みるPCやスマートフォンです。

  • 役割: 自身の「クライアント証明書」を提示し、認証サーバから送られてきた「サーバ証明書」を検証します。
  • 実務での要件: 現代のWindows、macOS、iOS、AndroidなどのOSには標準でサプリカント機能が内蔵されています。
  • 💡 ベテランの知見: EAP-TLS導入プロジェクトにおいて、最大のハードルとなるのが「証明書の配布」です。数百〜数千台の端末へ手動で証明書を入れることは非現実的なため、MDM(Intuneなど)やActive DirectoryのGPOを活用し、ルート証明書とクライアント証明書をセキュアかつ自動的に配布する仕組みの設計が必須となります。

まとめ

EAP-TLSは、強固な相互認証を提供する802.1X認証の最適解の一つです。証明書管理の運用コストはかかりますが、ゼロトラストネットワークの基盤として、エンタープライズ環境では今後も需要が高まり続ける技術です。設計やトラブルシューティングの際は、ぜひ本記事のシーケンス図を参考にしてみてください。

コメント

タイトルとURLをコピーしました